Share

 

Cu aproape o lună în urmă, Primăria Sectorului 1 a fost victima unui atac ransomware. Al doilea, în decurs de mai puțin de o lună. Spre deosebire de primul atac din septembrie, care a fost remediat în câteva ore, cel de-al doilea a blocat instituția timp de câteva zile.
Primăria nu a mai făcut public cum a remediat situația – a plătit recompensa în bitcoins solicitată de hackeri sau Poliția, DIICOT și echipa de specialiști IT angajată au reușit să decripteze calculatoarele afectate.
„Povestea fără sfârșit“ merită menționată însă pentru că furnizează câteva concluzii interesante:

  • Fulgerul poate să lovească de două ori în același loc!
  • Mantra „Doar nu ni s-o întâmpla tocmai nouă!“ nu asigură protecție.
  • Dacă nu înveți măcar din ceea ce ți s-a întâmplat deja, ești bun de plată!

În cazul amenințărilor și atacurilor informatice e însă mult mai bine să înveți dinainte. De aceea, am decis să inițiem un mini-serial de securitate IT, care să vă familiarizeze cu cele mai populare amenințări existente în acest moment.
Iar primul „episod“ este, evident, despre... ransomware!

De ce? – pentru că a devenit o amenințare foarte populară – apar constant noi amenințări (+350% în 2017 față de 2016, conform Dimension Data).
Mai grav e însă faptul că atacurile sunt tot mai țintite.

Motivul – e mai rentabil pentru hackeri să exploateze o organizație, de la care pot obține o recompensă mare, decât să atace „pe persoană fizică“ și să ia bani puțini din mai multe locuri.

Dovada – în 2016, IBM estima că 70% din companii plăteau răscumpărările, iar organizațiile recunoșteau că aveau rezerve de bitcoins în caz de nevoie... Între timp, atacurile s-au înmulțit, dar a scăzut numărul organizațiilor care recunosc că sunt pregătite să plătească.

De ce să pici la pace cu atacatorul? – pentru că pagubele produse de atac sunt mult mai mari decât răscumpărarea cerută.
Exemplu: în martie a.c. primăria orașului Atlanta a pierdut controlul infrastructurii IT în urma atacului ransomware-ului SamSam. Recompensa cerută – în jur de 51.000 USD. Remedierea pagubelor – 2,7 milioane USD estimare inițială, ulterior „ajustată“ la 9,5 milioane.

În acest caz: Preferați să plătiți un hacker și, implicit, să vă asumați riscul că vă poate extorca din nou, oricând dorește, sau investiți în protecția companiei voastre?

Nu vă grăbiți cu răspunsul înainte de a afla cum acționează efectiv un ransomware și ce măsuri de protecție aveți la dispoziție.

Ce este?
Simplificat, ransomware-ul este o aplicație „malițioasă“ care criptează fișierele de pe calculatorul dvs. și/sau vă blochează complet accesul la el. (La nivel de organizație, efectul se poate extinde la servere și dispozitive de stocare) Pentru a obține acesul la date și/sau deblocarea, aveți nevoie de o cheie de decriptare. Așa că fie apelați la specialiștii în securitate – vă asumați costul și riscul de a nu obține un rezultat în timp util –, fie plătiți răscumpărarea – adică alte costuri, alte riscuri...

Principalele tipuri de ransomware
Conform definiției, există:

  • Crypto-malware – blochează accesul la datele de pe calculatorul dvs. (data locker) prin criptarea lor;
  • Locker – blochează complet accesul la echipament (computer locker).

În timp însă „oferta“ s-a diversificat cu:

  • Scareware – false aplicații de protecție sau management care vă cer bani pentru remedierea unor false probleme descoperite pe PC-ul dvs.;
  • Doxware – malware care identifică informații sensibile de pe echipamentul dvs. și solicită recompensa pentru a nu le publica online;
  • Popcorn Time – ransomware cu „cointeresare“: prima victimă infectează la rândul său alte două; dacă ultimii doi achită răscumpărarea, prima victimă scapă gratis;
  • Screen lockers – ransomware de tip locker pentru device-urile mobile care rulează sub Android: nu poate fi accesată nicio funcționalitate, ecranul este blocat și afișează doar mesajul atacatorului;
  • Ransomware-as-a-Service (RaaS) – ofertă prin care hackerii livrează servicii complete (distribuție malware, încasare recompense și furnizare chei de decriptare);
  • Kit-uri pentru crearea de ransomware – pe Dark Web, de exemplu, „Philadelphia“ se vinde cu aproximativ 400 USD, dar există și oferte  – rușii dau Karmen cu 175, în timp ce Stampado – cu doar 39.

Cum se răspândește malware-ul?
În principal, prin Social engineering – utilizatorii sunt păcăliți să descarce un fișier uzual pentru activitățile lor (facturi, confirmări de comenzi, formulare electronice, notificări interne etc.). Atunci când îl deschid se realizează infecția.
Malvertaising-ul – accesarea site-urilor cu reclame infectate – și Phisihing-ul – direcționarea potențialelor victime către site-uri false, deja infectate – sunt două metode tot mai utilizate, dar și descărcarea de fișiere nesolicitate sau de false aplicații utile (vezi cazul Scareware).

Ce se întâmplă după ce sunteți infectat?
În primele momente, nimic sesizabil pentru utilizatori.
Malware-ul contactează serverul hacker-ilor, emite o cheie de criptare și una de decriptare și apoi trece la treabă.
Teoretic, din acest moment, dacă soluția de protecție folosită nu a depistat nimic, sunteți buni de plată. „Nota“ emisă vă indică valoarea, moneda (de obicei, una virtuală) și modalitățile de transfer.

Cum vă protejați de ransomware?
Principalele recomandări sunt:

  • Faceți backup-uri periodic. Una dintre metodele cele mai simple și ieftine de a vă recupera datele este de a le restaura dintr-un backup anterior momentului compromiterii. (Dacă nu sunteți convinși, încă, de cât de util și necesar este backup-ul, citiți aici)
  • Actualizați permanent aplicațiile de securitate. Chiar dacă vendorii de securitate acționează, în general, reactiv la apariția unui ransomware, timpul lor de răspuns este foarte scurt. În plus, noile versiuni de ransomware împrumută adesea elemente din unele mai vechi, așa că probabilitatea de identificare și blocare este crescută.
  • Nu uitați că e-mail-ul rămâne principala metodă de propagarea a ransomware-ului (prin clasicele „Links & Attachments“). Ar putea fi util deci să investiți într-o soluție dedicată de protecție.
  • Monitorizați aplicarea patch-urilor și update-urilor la nivelul tuturor aplicațiilor și sistemelor de operare. Majoritatea atacurilor ransomware exploatează breșe de securitate neremediate. În cazul Atlanta, cu două luni înaintea atacului, un audit al sistemelor IT identificase între 1.500 și 2.000 de vulnerabilități critice.
  • Investiți efort în educarea angajaților dvs. Dincolo de tehnologie în sine, resursa umană reprezintă o verigă slabă importantă (exploatată preponderent prin Social Engineering).

Acum aveți datele necesare pentru a răspunde la întrebarea din titlu.
Dacă ați ales să investiți în protecție, contactați-ne.